ProHoster > Blogs > interneta ziņas > Lurk vīruss uzlauza bankas, kamēr to rakstīja parasti attālināti darbinieki

Lurk vīruss uzlauza bankas, kamēr to rakstīja parasti attālināti darbinieki

Fragments no grāmatas ā€œIebrukums. ÄŖsa Krievijas hakeru vēsture"

Lurk vīruss uzlauza bankas, kamēr to rakstīja parasti attālināti darbinieki

Å Ä« gada maijā izdevniecÄ«bā Individuum iznāca grāmata žurnālists Daniils Turovskis ā€œIebrukums. ÄŖsa krievu hakeru vēsture." Tajā apkopoti stāsti no Krievijas IT nozares tumŔās puses ā€“ par puiÅ”iem, kuri, iemÄ«lējuÅ”ies datoros, iemācÄ«jās ne tikai programmēt, bet aplaupÄ«t cilvēkus. Grāmata attÄ«stās, tāpat kā pati parādÄ«ba ā€“ no pusaudžu huligānisma un foruma ballÄ«tēm lÄ«dz likumsargu operācijām un starptautiskiem skandāliem.

Daniels vairākus gadus vāca materiālus, dažus stāstus ēterā Meduza, par Daniela rakstu pārstāstījumiem Endrjū Krāmers no New York Times 2017. gadā saņēma Pulicera balvu.

Taču uzlauÅ”ana, tāpat kā jebkurÅ” noziegums, ir pārāk slēgta tēma. ÄŖsti stāsti tiek nodoti tikai mutiski starp cilvēkiem. Un grāmata atstāj ārprātÄ«gi ziņkārÄ«gas nepabeigtÄ«bas iespaidu ā€“ it kā katrs no tās varoņiem varētu tikt apkopots trÄ«ssējumu grāmatā ā€œkā Ä«sti bijaā€.

Ar izdevēja atļauju publicējam nelielu fragmentu par Lurk grupu, kas 2015.-16.gadā aplaupīja Krievijas bankas.

2015. gada vasarā Krievijas Centrālā banka izveidoja Fincert ā€“ centru, kas novēro un reaģēja uz datorincidentiem kredÄ«tu un finanÅ”u sektorā. Caur to bankas apmainās ar informāciju par datoru uzbrukumiem, analizē tos un saņem ieteikumus par aizsardzÄ«bu no izlÅ«kdienestiem. Šādu uzbrukumu ir daudz: Sberbank 2016. gada jÅ«nijā novērtēts Krievijas ekonomikas zaudējumi no kibernoziegumiem sasniedza 600 miljardus rubļu - tajā paŔā laikā banka iegādājās meitas uzņēmumu Bizon, kas nodarbojas ar uzņēmuma informācijas droŔību.

Pirmajā Ziņot Fincert darba rezultāti (no 2015. gada oktobra lÄ«dz 2016. gada martam) apraksta 21 mērÄ·tiecÄ«gu uzbrukumu banku infrastruktÅ«rai; Å o notikumu rezultātā tika ierosinātas 12 krimināllietas. Lielākā daļa no Å”iem uzbrukumiem bija vienas grupas darbs, kas tika nosaukts par Lurk par godu tāda paÅ”a nosaukuma vÄ«rusam, ko izstrādājuÅ”i hakeri: ar tās palÄ«dzÄ«bu no komercuzņēmumiem un bankām tika nozagta nauda.

Policija un kiberdroŔības speciālisti grupas dalÄ«bniekus meklē kopÅ” 2011. gada. Ilgu laiku meklējumi bija nesekmÄ«gi ā€“ lÄ«dz 2016. gadam grupa no Krievijas bankām nozaga aptuveni trÄ«s miljardus rubļu, kas ir vairāk nekā jebkurÅ” cits hakeris.

Lurk vÄ«russ atŔķīrās no tiem, ar kuriem izmeklētāji bija saskāruÅ”ies iepriekÅ”. Kad programma tika palaists laboratorijā testÄ“Å”anai, tā neko nedarÄ«ja (tāpēc to sauca par Lurk - no angļu valodas "to hide"). Vēlāk tas izslēdzāska Lurk ir veidota kā modulāra sistēma: programma pakāpeniski ielādē papildu blokus ar dažādām funkcionalitātēm - no tastatÅ«rā ievadÄ«to rakstzÄ«mju pārtverÅ”anas, pieteikÅ”anās vārdiem un parolēm lÄ«dz iespējai ierakstÄ«t video straumi no inficēta datora ekrāna.

Lai izplatÄ«tu vÄ«rusu, grupa uzlauza bankas darbinieku apmeklētās vietnes: no tieÅ”saistes medijiem (piemēram, RIA Novosti un Gazeta.ru) lÄ«dz grāmatvedÄ«bas forumiem. Hakeri izmantoja sistēmas ievainojamÄ«bu, lai apmainÄ«tos ar reklāmas reklāmkarogiem un caur tiem izplatÄ«ja ļaunprātÄ«gu programmatÅ«ru. Dažās vietnēs hakeri saiti uz vÄ«rusu ievietoja tikai Ä«si: viena grāmatvedÄ«bas žurnāla forumā tas parādÄ«jās darba dienās pusdienlaikā divas stundas, taču arÄ« Å”ajā laikā Lurk atrada vairākus piemērotus upurus.

NoklikŔķinot uz reklāmkaroga, lietotājs tika novirzÄ«ts uz lapu ar varoņdarbiem, pēc tam par uzbrukuma datoru sāka vākt informāciju ā€“ hakerus galvenokārt interesēja kāda programma attālinātai banku darbÄ«bai. Bankas maksājuma uzdevumos rekvizÄ«ti tika aizstāti ar nepiecieÅ”amajiem, kā arÄ« nosÅ«tÄ«ti nesankcionēti pārskaitÄ«jumi uz koncernu saistÄ«to uzņēmumu kontiem. Kā stāsta Sergejs Golovanovs no Kaspersky Lab, parasti Ŕādos gadÄ«jumos grupas izmanto čaulas kompānijas, ā€œkas ir tas pats, kas pārskaitÄ«jums un naudas izņemÅ”anaā€: saņemto naudu tur iekasē, saliek maisos un atstāj grāmatzÄ«mes pilsētas parkos, kur hakeri aiznes. viņiem. Grupas dalÄ«bnieki cÄ«tÄ«gi slēpa savu rÄ«cÄ«bu: Å”ifrēja visu ikdienas saraksti un reÄ£istrēja domēnus ar viltus lietotājiem. ā€œUzbrucēji izmanto trÄ«skārÅ”u VPN, Tor, slepenās tērzÄ“Å”anas iespējas, taču problēma ir tā, ka pat labi funkcionējoÅ”s mehānisms neizdodas,ā€ skaidro Golovanovs. - Vai nu VPN nokrÄ«t, tad slepenā tērzÄ“Å”ana izrādās nemaz tik slepena, tad viens, nevis zvanÄ«ja caur Telegram, zvanÄ«ja vienkārÅ”i no telefona. Tas ir cilvēciskais faktors. Un, kad jau gadiem krāj datubāzi, tad jāmeklē tādi negadÄ«jumi. Pēc tam tiesÄ«bsargājoŔās iestādes var sazināties ar pakalpojumu sniedzējiem, lai noskaidrotu, kurÅ” un kurā laikā ir apmeklējis Ŕādu un tādu IP adresi. Un tad lieta tiek uzbÅ«vēta.

Hakeru aizturÄ“Å”ana no Lurk paskatÄ«jos kā asa sižeta filmā. Ārkārtas situāciju ministrijas darbinieki hakeru lauku mājās un dzÄ«vokļos dažādās Jekaterinburgas vietās nogrieza slēdzenes, pēc kā FSB darbinieki izplÅ«da kliedzienos, satvēra hakerus un nometa uz grÄ«das, kā arÄ« pārmeklēja telpas. Pēc tam aizdomās turamie tika iesēdināti autobusā, nogādāti lidostā, pastaigājuÅ”ies pa skrejceļu un iekāpti kravas lidmaŔīnā, kas pacēlās uz Maskavu.

Hakeriem piederoŔās garāžās atrastas automaŔīnas - dārgi Audi, Cadillac, Mercedes modeļi. Tika atklāts arÄ« pulkstenis, kas inkrustēts ar 272 dimantiem. Sagrābts rotaslietas 12 miljonu rubļu vērtÄ«bā un ieročus. Kopumā policija veica aptuveni 80 kratÄ«Å”anas 15 reÄ£ionos un aizturēja aptuveni 50 cilvēkus.

Jo Ä«paÅ”i tika arestēti visi grupas tehniskie speciālisti. Kaspersky Lab darbinieks Ruslans Stojanovs, kurÅ” kopā ar izlÅ«kdienestiem bija iesaistÄ«ts Lurk noziegumu izmeklÄ“Å”anā, sacÄ«ja, ka vadÄ«ba daudzus no tiem meklēja regulārās personāla vervÄ“Å”anas vietnēs attālinātam darbam. Sludinājumos nekas nebija teikts par to, ka darbs bÅ«s nelegāls, un Lurk alga tika piedāvāta virs tirgus, un varēja strādāt no mājām.

"Katru rÄ«tu, izņemot nedēļas nogales, dažādās Krievijas un Ukrainas vietās cilvēki apsēdās pie saviem datoriem un sāka strādāt," stāstÄ«ja Stojanovs. "Programmētāji pielāgoja nākamās [vÄ«rusa] versijas funkcijas, testētāji to pārbaudÄ«ja, pēc tam par robottÄ«klu atbildÄ«gā persona visu augÅ”upielādēja komandu serverÄ«, pēc tam botdatoros notika automātiskie atjauninājumi."

Grupas lietas izskatÄ«Å”ana tiesā sākās 2017.gada rudenÄ« un turpinājās 2019.gada sākumā - sakarā ar lietas apjomu, kurā ir aptuveni seÅ”simt sējumu. Hakeru advokāts slēpj savu vārdu deklarētska neviens no aizdomās turamajiem nevienosies ar izmeklÄ“Å”anu, taču daži atzina daļu no apsÅ«dzÄ«bām. "MÅ«su klienti strādāja, izstrādājot dažādas Lurk vÄ«rusa daļas, taču daudzi vienkārÅ”i nezināja, ka tas ir Trojas zirgs," viņŔ paskaidroja. "Kāds izveidoja daļu no algoritmiem, kas varētu veiksmÄ«gi darboties meklētājprogrammās."

Lieta pret vienu no grupas hakeriem tika ierosināta atseviŔķā tiesvedÄ«bā, un viņŔ saņēma 5 gadus, tostarp par Jekaterinburgas lidostas tÄ«kla uzlauÅ”anu.

Pēdējās desmitgadēs Krievijā specdienestiem ir izdevies sakaut lielāko daļu lielo hakeru grupu, kas pārkāpa galveno noteikumu - ā€œNestrādā ruā€: Carberp (nozaga no Krievijas banku kontiem aptuveni pusotru miljardu rubļu), Anunak (nozaga vairāk nekā miljardu rubļu no Krievijas banku kontiem), Paunch (viņi izveidoja platformas uzbrukumiem, caur kurām nonāca lÄ«dz pusei infekciju visā pasaulē) un tā tālāk. Šādu grupējumu ienākumi ir pielÄ«dzināmi ieroču tirgotāju ienākumiem, un tajos bez paÅ”iem hakeriem ir vairāki desmiti cilvēku - apsargi, Å”oferi, kasieri, to vietņu Ä«paÅ”nieki, kurās parādās jauni varoņdarbi utt.

Avots: www.habr.com